Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2025-68947

1 minute de lecture

Mis à jour :

Attaque sur la sécurité des systèmes : une vulnérabilité critique permet la fin de processus

Une faille de sécurité a été identifiée dans le pilote Windows NSecKrnl de NSecsoft, référencée sous le code CVE-2025-68947. Ce défaut de conception permet à un attaquant local, possédant des identifiants valides, de stopper des processus appartenant à d’autres utilisateurs. Il est même possible de cibler des processus fonctionnant avec des privilèges SYSTEM ou désignés comme “Protected Processes”.

L’exploitation de cette vulnérabilité repose sur l’envoi de requêtes IOCTL (Input/Output Control) malveillantes au pilote. La cause profonde est un défaut d’autorisation (CWE-862), le pilote NSecKrnl ne vérifiant pas correctement si la demande de terminaison de processus est légitime.

Cette faille ouvre la porte à des attaques de type “Bring Your Own Vulnerable Driver” (BYOVD). Les acteurs malveillants peuvent ainsi contourner les solutions de sécurité d’endpoints et arrêter des processus essentiels au bon fonctionnement du système. Le groupe de ransomware Black Basta a déjà été observé exploitant cette vulnérabilité.

Points clés :

  • Vulnérabilité : CVE-2025-68947 dans le pilote NSecKrnl de NSecsoft.
  • Impact : Permet à un attaquant local authentifié de terminer des processus d’autres utilisateurs, y compris ceux avec des privilèges SYSTEM ou “Protected Processes”.
  • Mécanisme : Exploitation via des requêtes IOCTL spécialement conçues.
  • Catégorie de faille : CWE-862 (Défaut d’autorisation).
  • Type d’attaque : Permet des attaques BYOVD pour désactiver les sécurités et les processus critiques.
  • Utilisation constatée : Observée dans des campagnes du ransomware Black Basta.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques pour les utilisateurs finaux, il souligne l’importance pour les développeurs et les fournisseurs de :

  • Mettre à jour les pilotes : Il est crucial que NSecsoft publie rapidement une mise à jour corrective pour le pilote NSecKrnl.
  • Renforcer la validation des entrées : Implémenter des contrôles d’autorisation rigoureux pour toutes les requêtes adressées aux pilotes système.
  • Surveiller les comportements suspects : Les entreprises doivent rester vigilantes face aux tentatives de terminaison de processus non autorisées.

Source

Vous pourriez aimer